Hvordan lage et sikkert passord

datasikkerhet ikt sikkerhet Nov 23, 2023
Hvordan lage et sikkert passord

Denne artikkelen skal utforske et svært viktig emne, nemlig passord.

Vi vil ta deg gjennom passordets funksjon, vanlige feil, råd om å opprette sterke passord og sikre dem, og til slutt: alternative løsninger.

 

Hva er et passord?

Veldig kort fortalt, er et passord er en hemmelig kode som brukes for å bekrefte din identitet og gi deg tilgang til digitale tjenester. Dette enkle elementet er den første og viktigste forsvarslinjen for å beskytte din online tilstedeværelse. Derfor er det av avgjørende betydning å velge og opprettholde et sterkt passord.

Når du oppretter en brukerkonto på en nettside, blir du bedt om å oppgi et brukernavn og et passord. Når du senere prøver å logge inn, skriver du inn disse opplysningene for å bekrefte at du er den du påstår å være.

 

En vanlig misforståelse om passord

Det er en vanlig misforståelse at nettsiden faktisk lagrer passordet ditt i en lesbar form. Dette er ikke tilfelle, og det er viktig av flere grunner, inkludert personvern og overholdelse av lover som GDPR (General Data Protection Regulation).

For å forstå hvordan dette fungerer, kan vi se på hva som skjer i bakgrunnen.

Når du oppretter en brukerkonto, blir passordet du velger behandlet gjennom en matematisk enveisprosess. Resultatet av denne prosessen, en uleselig streng av tegn, blir lagret på nettsidens servere.

Det spesielle med denne enveisprosessen er at det er umulig å reversere den for å finne det opprinnelige passordet. Men når du prøver å logge inn senere, blir passordet du skriver inn også behandlet gjennom den samme enveisprosessen. Hvis resultatet samsvarer med det som er lagret på serveren, blir du innlogget. Dette gjør det mulig for nettsiden å bekrefte ditt passord uten å faktisk lagre eller kjenne til selve passordet.

 

Hvordan passord blir knekt

Selv om passord og nettsider kan virke ganske trygge, er det fortsatt måter passord kan bli knekt på, og det er ikke alltid brukerens feil.

 

Angripere har to hovedmetoder for å forsøke å knekke passord

Den første, og mest åpenbare metoden, er å prøve ulike kombinasjoner av påloggingsinformasjon på en nettside. Denne metoden blir imidlertid sjelden brukt, da den ofte er ineffektiv. Angripere er begrenset av hastigheten til sin egen internettforbindelse, samt nettsidens responsfart. Dessuten kan de ofte bli midlertidig utestengt fra nettsiden hvis de gjør for mange feilforsøk.

Den andre metoden innebærer at det krypterte passordet ditt blir avslørt, det vil si passordet ditt etter å ha blitt behandlet gjennom den enveisprosessen vi tidligere har beskrevet.
Hvis en angriper får tak i dette krypterte passordet, kan de prøve å knekke det ved å kjøre ulike passordkombinasjoner gjennom den samme enveisprosessen og fortsette til de finner en match.

 

 

De ulike måtene passord blir knekt på – og de vanligste måtene passord blir gjettet på:

  • Gjetting av passord: Det er vanlig for alle mennesker å velge enkle passord som vi enkelt kan huske.
    Ofte tror vi også at våre passord er sikre fordi de er lange, inneholder både store og små bokstaver, samt tall.
    Dessverre er det en utfordring knyttet til dette; det som er lett for oss å huske, er også ofte lett for en angriper å gjette. Mange av oss benytter seg av informasjon som navn, fødselsdatoer eller betydningsfulle hendelser i våre liv som passord, og dette er ofte informasjon som er tilgjengelig for andre.

    En angriper kan enkelt samle denne typen informasjon og deretter generere en liste med alle mulige kombinasjoner av disse elementene. Selv om listen kan være lang, tar det bare sekunder for en datamaskin å gå igjennom millioner av slike kombinasjoner.

  • Datalekkasjer: Hvis det krypterte (beskyttet av enveisprosessen) passordet ditt skulle bli offentliggjort, betyr som regel dette at nettsiden eller tjenesten du har brukt har blitt hacket.

    Hackeren vil ofte selge listene av krypterte passord, og av og til vil de selv dekryptere mange av dem (gjøre passordene lesbare).
    Om man søker litt rundt på nettet kan man finne tusenvis av krypterte og dekrypterte passord fra lekkasjer. Det som kan være problematisk med å ha ett passord offentliggjort, er at mange av oss bruker det samme passordet på mange nettsider. Mange av oss bruker også det samme passordet med små variasjoner. Dette er en hacker klar over, og vil fort finne passordet ditt om det ligner på det de fant i en lekkasje.

  • Bruteforce: Bruteforce-metoden er vanligvis den siste utvei når det gjelder forsøk på å knekke passord. Denne teknikken prøver systematisk alle mulige kombinasjoner av tegn og varierende lengder for å finne riktig passord. Hvis passordet ditt ikke er tilstrekkelig langt eller komplekst, vil denne metoden kunne knekke det relativt raskt.


    For å gi et perspektiv på hvor lang tid det kan ta å bryte passord med bruteforce, kan vi se på data fra Hive Systems. Ifølge deres rapport tar det for eksempel en angriper omtrent 6 timer å knekke et passord som består av helt tilfeldige kombinasjoner av store og små bokstaver, tall og symboler, hvis passordet har en lengde på 9 tegn. Hvis du øker lengden til 10 tegn, kan det ta så lenge som 2 uker. Hvis du velger et passord med en lengde på 10 tegn, men unngår å bruke symboler, vil tiden reduseres fra 2 uker til 5 dager. Hvis passordet ikke inneholder tall, kan det ta så lite som 21 timer å bryte det med bruteforce.

    Det er også viktig å huske at denne rapporten er basert på en PC fra 2020, og med den raske utviklingen og stadig økende prosesseringskraften vil disse tallene endre seg veldig fort. Et passord som tar ett år å knekke i dag, kan ta en time å knekke til neste år.

 

Passord som er lett for oss å huske, er også ofte lett for en angriper å gjette. Mange av oss benytter seg av informasjon som navn, fødselsdatoer eller betydningsfulle hendelser i våre liv når vi skal lage passord, og dette er ofte informasjon som er tilgjengelig for andre.

Henrik Selje Bygnes

 

Anbefalinger til et sikkert passord og sikkerhetssjekker

Nå har vi snakket om hva som kan gå galt og hvordan en hacker knekker passord. Da gjenstår det bare å snakke om hvordan man kan sikre seg mot slike angrep. Vi skal også gå gjennom hvordan man kan sjekke hva som har blitt offentliggjort og hva som bør endres.

Det første vi skal gå igjennom er hvordan man lagrer et sterkt passord.

  • Gjenbruk: Selv om passordet ditt er sterkt og følger alle reglene for et sikkert passord, hjelper ikke dette mye hvis du bruker det samme passordet på alle nettsider og tjenester. Ikke alle nettsider følger de samme reglene, og noen vil lagre passordet ditt i klartekst (ukryptert). Om en lekkasje da skulle skje, vil ikke en angriper trenge å bruke noe tid på å knekke passordet ditt, og selv om det er kryptert vil angriperen bare trenge å knekke ett passord. Dette er et enda større problem om passordet ditt er lett å gjette.

  • Tilfeldighet: Passord som er lett å huske er også ofte lett å gjette. Navn, ord og datoer er som regel aldri lurt å bruke i et passord. Mange tenker kanskje også at det å bytte ut enkelte bokstaver med tall eller tegn er en god ide, for eksempel å bytte ut en «e» med et tretall, eller en «s» med et dollartegn. Dette vil styrke passordet litt, men det er fortsatt en forutsigbar endring. Det sikreste passordet er langt, har en tilfeldig blanding av store og små bokstaver, tegn og tall.

  • Lengde: Som vi tidligere diskuterte, er passordlengde en ekstremt viktig faktor å vurdere når det kommer til passordsikkerhet.
    Det finnes ulike anbefalinger fra ulike eksperter, og de fleste nettsider krever nå minst åtte tegn for et passord.

    Imidlertid er det vanskelig å fastslå en nøyaktig anbefalt lengde for passordet, da det er flere andre faktorer som også spiller en betydelig rolle, som tilfeldighet og unikhet.

    For eksempel vil et 15-tegns passord som inkluderer ditt eget navn og fødselsdato være langt fra like sikkert som et kortere passord som er helt tilfeldig generert. Hvis passordet ditt brukes flere steder, eller hvis det er en variasjon av et tidligere brukt passord, kan det også være mindre sikkert enn et nytt og kortere passord.

 

En liten anbefaling for passordlengde

Basert på dataene fra Hive Systems som vi tidligere så på, har jeg laget en egen anbefaling for passordlengde.

Denne anbefalingen tar hensyn til passordets kompleksitet, som kan variere fra passord som kun inneholder tall, til passord som inneholder både store og små bokstaver, tall og symboler.

Gjennomsnittlig passordlengde som kreves for at det skal ta rundt ett år å knekke, ligger på omtrent 13 tegn. Dette gjennomsnittet omfatter fem ulike nivåer av sikkerhet, fra kun tall til kombinasjoner av store og små bokstaver, tall og symboler.

Det er viktig å merke seg at denne anbefalingen kan variere avhengig av utviklingen innen datamaskiner og prosessorkraft. Derfor kan det være fornuftig å legge til ett eller to ekstra tegn for ekstra sikkerhet i fremtiden.

Jeg kan gi noen eksempler for å illustrere dette:
Hvis passordet ditt kun består av små bokstaver, vil jeg anbefale å øke lengden. På den andre siden, hvis passordet ditt inneholder både store og små bokstaver, tall og symboler, kan lengden reduseres.

Generelt sett vil min anbefaling være en passordlengde på rundt 14 tegn, forutsatt at passordet er fullstendig tilfeldig generert. Hvis passordet inneholder vanlige ord eller datoer, bør lengden økes betraktelig for å sikre passordets styrke.

 

Regelmessig passordbytte

Når det gjelder sikkerheten til de nettstedene og tjenestene vi bruker, har vi som brukere begrenset kontroll. I samsvar med GDPR skal alle brukere informeres hvis tjenesten de bruker opplever en datalekkasje.

I noen tilfeller kan denne prosessen av og til ta tid, og av og til kan tjenesten kanskje ikke engang være klar over lekkasjen. Det trenger ikke bare å være en tjeneste sin feil heller, man kan fort dele passordet med en social engineer uten å vite det.

Derfor kan det være klokt å implementere en god vane med jevnlige passordbytter. Dette gir ekstra sikkerhet ved å begrense potensielle skader hvis passordet ditt noensinne blir kompromittert.

 

Et lite tips!

For å sjekke om passordet eller annen sensitiv informasjon har vært med i en lekkasje, kan nettsider som haveibeenpwned.com bli brukt. Her skriver man bare inn e-post eller mobilnummer og så vil nettsiden fortelle deg om den har vært med i en lekkasje og hvilken informasjon som ble offentliggjort. Det er også mulig å skrive inn passord du bruker for å sjekke det ligger på nettet.

 

Password manager

Det neste vi skal snakke om er en måte å sikre og generere sterke passord på. Her blir det ofte brukt en «password manager». En password manager er en programvareløsning eller tjeneste som hjelper deg (og arbeidsplassen din) med å administrere og lagre din sensitive informasjon på en sikker måte.

Noen av fordelene med å bruke dette er:

  • Sikker lagring: En password manager krypterer og lagrer all påloggingsinformasjonen din på en trygg måte. Dette betyr at du bare trenger å huske ett hovedpassord for å få tilgang til resten.

    Det er også en god idé å skru på tofaktorautentisering for å hindre tilgang til angripere, om de skulle få tak i passordet ditt. Dette skal vi snakke om litt senere.

    Hvis alle passordene dine er lagret i en password manager, kan du også slette alle passord fra nettleseren din og skru av lagring av passord. Det å hente et passord fra en nettleser kan bli gjort av alle som har tilgang til din PC, og trenger ingen spesiell programvare. Dette er ikke et krav, men det kan forbedre sikkerheten din.

 

  • Automatisk innlogging: Password managere kan automatisk fylle ut påloggingsfeltene for deg når du besøker nettsider eller tjenester, slik at du slipper å skrive inn passordet for hver gang. Ikke bare gjør dette det enklere for brukeren, men det beskytter også brukeren mot falske nettsider (phishing nettsider). Password manageren vil sjekke at nettsiden er korrekt, og bare fylle inn passordene dersom den kan bekrefte at nettsiden er autentisk.

  • Generering av passord: Den kan også generere sterke og tilfeldige passord for deg, noe som gjør det enkelt å opprette unike og sikre passord for hver tjeneste og nettside.

  • Sikkerhetsvurdering: Mange password managere tilbyr funksjoner som vurderer sikkerheten til eksisterende passord og gir råd om å endre dem hvis de er svake eller har blitt kompromittert tidligere i datalekkasjer. Noen kan også fortelle deg hvor lenge du har brukt et passord.

Tofaktorautentisering

Tofaktorautentisering, også kjent som totrinnsbekreftelse, er en ekstra sikkerhetsmekanisme som brukes for å bekrefte din identitet når du prøver å få tilgang til en konto eller en tjeneste.

Dette ekstra trinnet i autentiseringen kan ofte innebære en melding som sendes til ditt registrerte telefonnummer, bruk av en autentiseringsapp eller mottak av en bekreftelseskode via e-post.

Med tofaktorautentisering må du (i tillegg til å oppgi brukernavnet og passordet ditt) fullføre et ekstra trinn for å bekrefte din innlogging fra en annen kilde eller enhet. Dette gjør at en angriper ikke vil få tilgang til din bruker, selv om de har innloggingsinformasjonen din.

Det finnes måter folk har kommet seg rundt dette med bruk av social engineering, men dette er sjeldent. Jeg vil anbefale alle å bruke tofaktorautentisering der det er mulig.

 

Andre former for autentisering

Autentisering kommer i mange former. På mobiltelefoner benytter folk ofte funksjoner som FaceID eller biometrisk autentisering, for eksempel fingeravtrykk. Dette kan ofte være en sikrere metode enn å bruke et passord, samtidig som det frigjør deg fra byrden med å huske mange forskjellige og komplekse passord.

Imidlertid er en utfordring her at sikkerheten i stor grad er avhengig av kvaliteten og påliteligheten til maskin- og programvaren på enheten din. Selv de nyere mobilene kan oppleve feil med både FaceID og biometri. Jeg har personlig vært vitne til situasjoner der en iPhone har blitt låst opp av søsken.

Videre er det også mulig å klone fingeravtrykk og misbruke dem. Derfor er det viktig å ha en sikker enhet og oppdatere den jevnlig for å minimere risikoen.

PIN-koder er også en vanlig autentiseringsmetode, men hvis du har muligheten til å velge et sterkt passord, vil jeg anbefale det fremfor en PIN-kode. Generelt sett er PIN-koder relativt korte, men de vanligvis har en begrensning på antall forsøk. Dette betyr at hvis du taster inn feil PIN-kode for mange ganger, vil tjenesten eller enheten bli låst. Hvis dette er tilfellet, kan det være greit å bruke en PIN-kode som en alternativ autentiseringsmetode.

 

En podcastserie om IT-sikkerhet

Om du vil høre ukens artikkel som en podcastepisode, så finner du den på IT-sikkerhetspodden – en miniserie om IT-sikkerhet som Henrik Selje Bygnes har utarbeidet for og med Einang Safety. Henrik er utdannet digital etterforsker, og er i Einang Safety sine øyne et unikum med sin solide kunnskap og behagelige vesen.

Miniserien om IT-sikkerhet kan du høre her, eller du kan høre den på Spotify og andre steder der du pleier å lytte på podcast.

 

Hvorfor en podcastserie om IT-sikkerhet?

En slik podcastserie var noe vi bare "måtte" lage i håp om at den kunne gi virksomheter en verdifull innsikt, rådgivning og oppdateringer om digitale trusler og beskyttelsesstrategier.

...Og hvis IT-sikkerhetspodden hjelper virksomheter der ute i Norges land med å navigere tryggere i i den digitale jungelen, og med å styrke sin digitale sikkerhet? 
Ja, da kan vi rett og slett tenke: "Mission Complete".

----------------------------------------------------------------------------------------------------------

Hvis du vil ha hjelp til å sikre din virksomhet mot IKT-angrep, kan vi i Einang Safety hjelpe deg.

Vi har lang fartstid bak oss innen digital etterforskning og etterretning, og vi vet hvordan du kan sikre virksomhetens IKT-systemer og den informasjonen som dere har lagret – såkalt IKT-sikkerhet eller «cybersikkerhet». Eller datasikkerhet, for å bruke et folkelig uttrykk.

Ta kontakt med oss enten du vil ha en gjennomgang av IKT-sikkerheten, eller hvis du vil at vi skal komme og ha en temadag, fagsamling eller fagdag med de ansatte om viktigheten av en god IKT-sikkerhetskultur. Vi kan også tilby kurs innen IKT-sikkerhet som vi kan spisse mot din arbeidsplass.

Du finner kontaktinformasjonen vår her.